CISO视角:Mike Wilkes谈如何在不断演变的威胁中构建韧性

本文通过前漫威CISO Mike Wilkes的职业生涯,探讨了现代CISO所需的技能组合、API安全的重要性、AI对网络犯罪的影响,以及构建网络韧性的实用策略。文章深入分析了技术架构与业务对齐的平衡,并提供了应对不断演变威胁的实战见解。

CISO Spotlight: Mike Wilkes on Resilience Amid Evolving Threats

Mike Wilkes的职业生涯是许多网络安全专业人士梦寐以求的。作为一名兼职教授、前漫威和MLS的CISO、世界经济论坛成员、鼓手以及哈莱姆国家爵士博物馆的董事会成员,他的兴趣和成就既多元又令人印象深刻。

在CISO Spotlight的第一期中,我们与Mike坐下来探讨了定义他卓越职业生涯的技能、策略和故事,并了解了他对定义现代网络安全行业最新趋势的看法。

从哲学到防火墙

正如你可能已经了解到的,Mike Wilkes的职业生涯并非典型。他拥有哲学背景和斯坦福大学的教育哲学硕士学位,职业生涯始于加利福尼亚的一个K-12教育智囊团。然而,他很快意识到自己可以在科技界更好地发挥才能。

“帕洛阿尔托的垃圾箱里的电脑比教室里的还多,”他说。“那时我知道,科技是我能真正发挥作用的地方。”这一认识使他在互联网泡沫时期早期担任WebOps角色,帮助星巴克、PlayStation和梅西百货推出了数字平台。

但Mike从来不仅仅是一个网络人员。“我负责基础设施,”他说。“在DevOps成为DevOps之前,我们称之为WebOps。那时候安全不是一个部门——而是你为了让服务器不在凌晨2点崩溃而做的事情。”

跨越多个行业的CISO职业道路

多年来,Mike在多个行业担任过CISO角色——金融、娱乐、科技、体育等。“我甚至喜欢说我保护了钢铁侠的安全,”他开玩笑说,指的是他在漫威担任CISO的时光。在美国作曲家、作家与出版商协会(ASCAP),他的两个身份——网络安全领导者和爵士鼓手——和谐地结合在一起。“能够在同一份工作中结合音乐和安全?那太棒了。”

Mike还与世界经济论坛合作,并合著了关于量子安全的论文。“如果你将机器学习与量子结合,你会得到Reese’s花生酱杯式的炒作,”他笑道。“但真正的问题是:你如何实际使用这些技术来保护数据?”

两种类型的CISO及现代CISO所需的真实技能

考虑到他广泛而多样的CISO经验,很少有人比Mike更适合提供对这一角色的见解——而他对许多CISO的看法相当严厉。

“有两种类型的CISO:球员教练和纯教练,”他争辩道。“球员教练拥有硬技能——他们知道如何登录、阅读日志并发现威胁。纯教练完全依赖影响力和关系。”

尽管如此,虽然Mike确实重视技术深度,但现代CISO还必须掌握业务对齐。“有人在安全会议上说过,‘我们不仅需要为员工提供安全意识培训——还需要为CISO提供业务意识培训。’这句话一直让我印象深刻。”

他说,安全不能是“拒绝部门”。他敦促CISO说“还没有,让我们试试这种方式”,而不是简单地说“不,你不能这样做”。他甚至说,如果CISO不了解公司如何赚钱,他们就不是在保护业务——而是在拖慢业务。

给CISO的建议:绝地心灵技巧

Mike给CISO的建议是以适量的实用主义和诡计来对待这一角色。“你必须使用绝地心灵技巧,”他说。“让你的CEO认为这是他们的想法。提出三个选项——维持、降级或升级——猜猜他们会选什么。”

然而,对Mike来说,作为CISO的成功不仅仅在于巧妙使用建议——还在于以决策者能理解的具体术语与CEO和董事会成员交谈。“如果你说‘这个API可能导致数据泄露’,那是抽象的。如果你说‘这次泄露可能造成1000万美元的损失,并使我们的系统停机三天’,那是真实的。”

泄露节奏胜过泄露可能性

为了进一步向关键决策者强调强大网络安全的重要性,Mike建议改变叙述方式:不是关于组织是否会遭受泄露;而是关于何时会发生。

“任何公司都可能被泄露,”他说,“只要给攻击者足够的时间和动机。所以CISO需要停止谈论可能性。谈论节奏。”他用两家公司对比来说明这一点。“也许T-Mobile每几个月就被泄露一次。FireEye在遭受泄露前坚持了五年。问问你的CEO:你会为五年的平静付出什么代价?”

大多数公司学得太晚的艰难教训

Mike认为,网络安全最严重的问题之一是,太多时候需要一次重大泄露才能说服组织需要改进防御。“大多数组织不会在因泄露损失500万到1000万美元之前花费50万美元进行预防。就像孩子和热炉子——你告诉他们很热,但他们直到烫伤手指才学会。”

Mike认为,这种被动的网络安全方法相当于将优先级外包给攻击者,后果严重。“我们让威胁行为者决定什么重要,”他说,“而不是自己构建韧性。”

API安全的重要性

API安全是Mike认为值得特别关注的领域。“85%的互联网流量是机器对机器的——换句话说,是API,”他说。“但大多数公司甚至不知道他们有多少API。”

他继续说:“有一种叫做低代码/无代码的东西。人们将API密钥粘贴到Slack或Salesforce中,没有任何审查。这就像用胶带将后门粘在你的数据中心上。”

那么,第一步是什么?“可见性。你无法保护你不知道的东西。但可见性还不够。你需要控制、文档、监控和数据流的上下文。”

AI如何使网络犯罪民主化

谈到AI话题,Mike认识到既有风险也有机遇。“AI让 junior varsity 在 varsity 级别上比赛,”他说。“我们过去担心国家行为体。现在我们担心拥有AI工具的无聊青少年。”

然而,在防御方面,Mike更加乐观。“每个CISO都应该有一个基于公司政策训练的AI助手,能够发现异常并简化决策。但他们需要负责任地部署它,而不是为了部署而部署。”

始终以人为本

现在在纽约大学和哥伦比亚大学任教,Mike将指导视为他使命的延伸。“我教书是因为我想激励下一代。我想让他们知道这项工作很重要。”

他的指导是他对网络安全更广泛看法的延伸:“网络安全的产物是避免伤害。我们通过人员、流程和工具来实现这一点——按这个顺序。工具虽然有用,但排在最后。”

当被问及梦想的假期时,Mike回答:“冰岛。火山、冰川、原始自然。还有日本,因为那里有尊重长辈的文化。既然我现在是长辈了,这听起来不错。”

至于网络安全的主题曲?Wilkes让AI写了一首:《魔镜,魔镜,墙上镜》。你可以在这里收听。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次